Amikor a G Data kiberbiztonsági cég elemzői a tavalyi év végén leültek, hogy előrejelzést készítsenek arról, mi vár az online világra 2024-ben, arra jutottak: növekvő váltságdíjak, több átverés, szaporodó jogszabályok – és mindennek hajtóerejeként ott a mesterséges intelligencia. Félidőhöz közeledve nem sok kétség férhet hozzá: jól sejtették. Nem volt persze nehéz dolguk abban a korban, amikor egy közéleti hírblokkot sem lehet úgy meghallgatni, hogy ne kerüljön szóba valamilyen formában az MI.

Az mára talán mindenki számára világos, hogy a mesterséges intelligencia jelenleg terjedő formája dimenzióugrást jelent: olyan csalásokra lesz általa lehetőség, amiket korábban tényleg csak science fictionben láthatott az ember. Mutatunk néhány erős példát – a valóságból.

Virtuális emberrablás? Hogy mi van?

Az ESET szakértői szerint a mesterséges intelligencia hangklónozási technológiájával virtuális emberrablást is el tudnak követni a csalók. Kiberbűnözők már arra is képesek a legmodernebb technológiát alkalmazva, hogy a hozzátartozó, például a gyerek hangján hívják fel a szülőket váltságdíjat követelve. Ilyen módon súlyos érzelmi és anyagi károkat okozva az áldozatoknak.

Fazekas István

A virtuális emberrablások jól meghatározott lépésekből épülnek fel. Először a csalók potenciális áldozatokat keresnek, akiket felhívhatnak és megpróbálhatnak pénzt zsarolni tőlük. A bűnözők azonosítják az „emberrablás” célpontját – jó eséllyel mondjuk az illető gyermekét a közösségi médiában vagy más, nyilvánosan elérhető információk alapján.

A csalók ezután kitalálnak egy képzeletbeli szituációt, ügyelve arra, hogy az a lehető a legmegrázóbb legyen azon személy számára, akit fel akarnak hívni. Minél nagyobb az ijedtség, annál kevésbé hoz racionális döntéseket az ember. A jól kivitelezett social engineering manipulációs kísérletekhez hasonlóan a csalók emiatt siettetik is az áldozat döntéshozatalát. 

A bűnözők ezután további kutatásokat végezhetnek, hogy lássák, melyik időpont a legalkalmasabb a hívásra. Az információ forrása ezúttal is a közösségi média, illetve egyéb nyilvánosan elérhető adat lehet. Az a céljuk, hogy olyan időpontban vegyék fel velünk a kapcsolatot, amikor a szeretteink, rokonaink otthonuktól távol tartózkodnak, ideális esetben nyaralnak.

Ha eddig nem is, ezen a ponton gondolhatja azt a kedves olvasó, hogy most már bezárja ezt a minden valóságalapot nélkülöző cikket. Hiszen ilyen csak egy szenzációra éhes újságíró fantáziájában történhet meg, nem igaz? Nos: nem igaz. Az amerikai Jennifer DeStefanóval pontosan ez történt meg. Na jó, jó, gondolja most az olvasó, de hát ez Amerikában volt, ha el is ér ez a trend hozzánk, az belekerül néhány évbe. A rossz hír az, hogy egy évvel már közelebb vagyunk hozzá, az eset ugyanis annyira nem világújdonság, hogy tavaly tavasszal történt.

De térjünk vissza a csaláshoz, melynek következő lépése egy hangminta alapján a hangklónozás. Azaz egy egyszerűen hozzáférhető szoftver segítségével hangfelvételt készítenek a célpont „hangjával”, amellyel megpróbálják meggyőzni az áldozatot arról, hogy elrabolták a rokonát. (Egyéb, közösségi médiából szerzett információkat is felhasználhatnak a biztosabb meggyőzés érdekében, például olyan részleteket említenek az „elrabolt” személyről, amelyeket egy idegen nem tudhat.)

És ezen a ponton már csak a szerencsén, illetve a megzsarolt szülő lélekjelenlétén múlik, hogy lenullázzák-e a bankszámláját. A példaként említett történet szerencsés véget ért. A nőt ért első sokk után kiderült, hogy a lánya biztonságban van odahaza, így nem fizetett a csalónak. Ugyanakkor a mesterséges hang rendkívül meggyőző volt. Mint mondja, a beszélgetés során egy pillanatig sem merült fel benne, hogy nem a lányát hallja a vonal túloldalán. Ez nem meglepő annak fényében, hogy például az OpenAI hanggenerátorának 15 másodpercnyi hangmintára van szüksége ahhoz, hogy utána bárki hangján megszólaljon, és azt mondja, amit beírnak neki. A Microsoft megoldásának, úgy tűnik, 3 másodperc is elég ehhez.

A G Data szakértői szerint az ilyen hívások „hagyományosabb” formája, amikor bűnöző orvosnak, ügyvédnek vagy egy segélyszolgálat munkatársának adja ki magát, és arról értesíti a hívott felet, hogy egy családtagja bajba került, aminek gyors elhárításához további adatokra és pénzre van szükség. Az MI technológia segítheti a bűnözőket például abban, hogy orvosi szempontból hitelesebbé tegyék az átveréseket.

Hang helyett kép: arccsere

Az olcsó és könnyen hozzáférhető mesterséges intelligencia miatt egyre több csaló próbálkozik arccserés megoldással átverni másokat. Ehhez egy rossz minőségű kép is elegendő lehet – állítják a személyazonosságot igazoló technológiákat fejlesztő londoni Onfido szakértői. Jelentésük szerint az ilyesmi, deepfake technológián alapuló csalási kísérletek száma 2023-ban közel 31-szeresére nőtt, vagyis 2022-höz képest 3000 százalékkal több ilyen próbálkozás volt.

A legjobb példaként erre az arccserélő alkalmazások szolgálnak. Az egyszerűbbek minősége nagyon rossz, ezek könnyen felismerhető hamisítványokat generálnak. A kifinomultabb rendszerek azonban már a mesterséges intelligencia segítségével alakítják át és vegyítik a kiinduló arcot a célként elérni kívánt arcfelülettel. Akár csak egy-egy TikTokon, Facebookon felkapott szolgáltatásból is látható, hogy a teljesen ingyenes platformok is megdöbbentő élethűségre képesek.

A szakemberek szerint bár a támadási kísérletek száma egyre csak nő, a biometrikus azonosítás továbbra is az egyik legbiztosabb – ha nem is tökéletesen biztonságos – módja a védelemnek, azonosításnak.

Szövegelnek, már magyarul is

Barta Gergő, a Deloitte kibervédelmi osztályvezetője a HVG-nek korábban azt mondta, „azzal lett nagyobb a támadási felület, hogy akik kevésbé értenek ezekhez a feladatokhoz – gépek hackeléshez vagy az egyes infrastruktúrák elleni penetrációs tesztek készítéséhez –, azok is kaptak egy olyan eszközt, ahol már csak be kell írni, mit akarnak, és az MI kidob egy olyan kódot, amelyet beütve kárt tudnak okozni”. Az MI ugyanis megtanult programozni.

Magyarán: az is könnyedén kiberbűnözővé válhat, akinek minimális ismeretei vannak a téren, egyszerűen csak ismeri a legújabb, MI-alapú platformokat, ahol pár jól beírt mondattal (prompttal) összelegózhat magának egy megfelelően hatékony eszközt kibertámadáshoz.

A legalapvetőbb módszerek közé tartozik a szöveges (e-mailes, chates) átverés. Az MI ebben is újdonságot hozott: használatával gyakran tökéletes nyelvhelyességgel lehet a világ összes nyelvén megtévesztő adathalász üzeneteket írni. Egy teljesen hétköznapi, magyar nyelvű esetet mi magunk is átéltünk, amikor feladtunk egy hirdetést a Facebook Marketplace-en, és hagytuk magunkat, bedőltünk az AirPodsunkért szinte azonnal bejelentkező csalónak.

A mesterséges intelligencia persze nem kizárólag a támadókat segíti, hanem az eddigi eszközöknél hatékonyabban és gyorsabban képes észlelni a támadási szándékra utaló anomáliákat is. A kiberbiztonsági szakemberek folyamatosan figyelik a védett szervezetek, cégek hálózatait, és igyekeznek eldönteni, hogy a gyanús események közül mi valós fenyegetés, és mi az, ami csak annak tűnik. Ezekben a hónapokban gyártók és a szolgáltatók arra összpontosítanak, hogy az MI-vel támogassák meg az ellenőrzést. 

AFP / DPA / Anette Riedl

Pénzvédelmi leckék

Van, hogy a bűnözők a fentieknél direktebb módon, kisebb energiabefektetéssel utaznak az ember pénzére. Már tavaly feltűnt a neten olyan MI-támogatott chatbot, amely betéti- és hitelkártyaadatok ellopásában is segítheti a kiberbűnözőket.

Mások mellett ilyen például a FraudGPT. Egy ablakba kell beírni a parancsokat, a chatbot pedig válaszol rájuk – ennyi. Egy, a funkciókat bemutató videóban állítólag a FraudGPT pillanatok alatt elkészít egy adathalász SMS-üzenetet, amelyben egy banknak adja ki magát, annak nevében ír üzenetet. Hogy kártyaadatokra megy ki a játék, azt az is alátámasztja, hogy elemzések szerint a FraudGPT fejlesztője kártyaadatokat is árul, és útmutatókat ad ahhoz, hogy hogyan kell csalást elkövetni.

No persze a bankokat és a kártyatársaságokat sem kell félteni. A Mastercard adatai szerint, ha a „jó oldalon állók” alkalmazzák a generatív mesterséges intelligenciát, akkor megduplázhatóvá válik a kompromittált kártyák felderítési aránya, 200 százalékkal csökkenthető a fals pozitív jelzések száma, és 300 százalékos gyorsulás érhető el a csalók által kiszemelt, veszélyeztetett vagy kompromittált kereskedők azonosításában.

Az ilyesmire szükség is van, mert az OTP Mobil friss – életkor, nem, iskolai végzettség és településtípus alapján a magyar lakosságot reprezentáló – kutatása szerint a magyarok többsége (92%) tart tőle, hogy online vásárlás során csalás áldozatává válik. A visszajelzések alapján a magyarok 45 százalékában akkor merül fel az adathalászat gondolata, ha fizetési adatok megadását kérik tőlük. A második leggyanúsabbnak ítélt tartalom az, ha letiltott bankkártyáról tájékoztatják az embereket egy linket is tartalmazó levélben, amelyre kattintva fizetési adatokat kérnek (37%). Százból hat ember azt kezeli fenntartásokkal, ha jelszóváltoztatást kérő levelet küldenek neki kattintható hivatkozással.

A kutatás szerint egyre többen tesznek hatékony lépéseket a visszaélések elkerülése érdekében, például kétfaktoros azonosítás alkalmazásával (44 százalék).

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.